Seguridad y Ciberresilencia en un entorno hiperconectado

Este panel ha contado con la asistencia de los siguientes expertos en seguridad y ciberresiliencia:

• Cristóbal Corredor Ardoy, IT Channel Account Manager Iberia de Motorola Solutions
• David Fernández Granado, CEO de Cipher | A Prosegur Company
• Javier Díaz Evans, Director General Global de A3sec
• José María Ochoa, Director de OneseQ I Alhambra Cybersecurity

En primer lugar, Cristóbal Corredor Ardoy, IT Channel Account Manager Iberia de Motorola Solutions, puso énfasis en el concepto de la seguridad convergente como la nueva prioridad, integrando tanto los activos digitales como los físicos. En su opinión, “la seguridad convergente es una estrategia holística que agrupa tanto la la ciberseguridad de los activos digitales con la ciberseguridad de los activos físicos. Es una convergencia de departamentos de las compañías, no únicamente los departamentos de seguridad por un lado, y de ciberseguridad por otro”.

Cristóbal Corredor aboga por centralizar la atribución de responsabilidades en el CISO, ya que cada vez en las organizaciones hay más dispositivos IoT que se conectan con otros sistemas y aumentan la probabilidad de vulnerabilidades y brechas de seguridad, lo que requiere un control centralizado de la seguridad física y digital.

Propone como solución una estrategia holística que “integre la seguridad física y la ciberseguridad en un único SOC (Security Operations Center)”, así como Implementar la seguridad desde el diseño en dispositivos IoT, la transición hacia arquitecturas de Edge Computing, donde cada dispositivo IoT es ciberseguro, el uso de sistemas de cifrado robusto (AES 256, TLS) para las comunicaciones de los dispositivos IoT y, por último, la adopción de herramientas de gestión centralizadas con autenticación de doble factor (2FA) y gestión de roles.

David Fernández Granado, CEO de Cipher | A Prosegur Company, abordó en su intervención los retos a los que se enfrentan en la actualidad los CISOs y CSOs de las organizaciones. Destacó en primer lugar la importancia de comunicar los conceptos de ciberseguridad de manera simple y comprensible para todos, evitando la jerga técnica y enfocarse en los principios básicos y paralelos con la seguridad física.

Resaltó el aspecto regulatorio, cuando afirmó que “NIS2 es necesaria, pero no es una solución completa (bala de plata) para los problemas de ciberseguridad. Es una condición necesaria, pero no suficiente. Y este reto se tiene que abordar entendiendo el mercado de una manera holística. Primero, tenemos una fragmentación organizativa enorme”. Esta normativa, “intenta poner un cierto orden de quiénes son los reguladores, quiénes son la parte estatal o la parte de comunidades autónomas o administraciones locales que tienen algo que decir. Pero también hay una fragmentación enorme en cuanto al mercado, lo que genera vulnerabilidades”.

Afirma que la NIS2 puede generar competencia entre los CSOs (Chief Security Officers, seguridad física) y los CISOs (Chief Information Security Officers, ciberseguridad), “si eres un CISO, prepárate para ampliar tus conocimientos a temas físicos y obtener acreditaciones relacionadas con la seguridad física. Y si eres un CSO, prepárate para ampliar tus conocimientos a temas de ciberseguridad”. Integrar los conocimientos y la experiencia de los CSOs y los CISOs es crucial para abordar las amenazas híbridas de manera efectiva.

David Fernández puso sobre la mesa la importancia de alcanzar la soberanía tecnológica, ya que actualmente existe una gran dependencia en materia de ciberseguridad y tecnología en Europa con proveedores de EE. UU. e Israel. Afirma que es necesario impulsar la fabricación de tecnología de ciberseguridad en la Unión Europea

También destacó que hay una escasez de talento en ciberseguridad, lo que lleva a intrusismo y falta de regulación en el sector, que es necesario profesionalizar, posiblemente acreditando a los responsables de seguridad, de modo similar a la regulación en seguridad física.

El CEO de Cipher señaló que hay aspectos como que “el Estado está haciendo grandes inversiones, todos, pero la Ley de contratos del estado no favorece la dinámica que tiene el mercado de la ciberseguridad. Vemos pliegos a cuatro, a seis años en el que se define un alcance y tienes que mantener una tecnología o servicio durante seis años”.

Destaca que de este modo los contratos a largo plazo no permiten incorporar nuevas tecnologías como la inteligencia artificial de manera efectiva.

Por otra parte, resaltó que las PYMEs, que son la base de la economía española, enfrentan restricciones de coste que limitan su capacidad de invertir en ciberseguridad. Y esto lleva a que la cadena de suministro sea vulnerable si las PYMEs no son ciberseguras, lo que impacta a las grandes empresas.

Por último, quiso recordar que estamos asistiendo a la convergencia de las amenazas físicas y lógicas, que debemos considerar como amenazas híbricas. “Son una realidad. Es importante considerar los procesos críticos de negocio y los activos tecnológicos que los sustentan, más allá del IT tradicional”. Y puso ejemplos muy llamativos como los ciberataques a huertos solares de PYMEs que pueden tumbar el sistema eléctrico con un efecto dominó, los ataques a cámaras de videovigilancia que dan soporte a procesos críticos como el recuento de dinero o el bloqueo de básculas de pesaje de camiones para afectar al suministro logístico.

David Fernández concluyó diciendo que “la ciberseguridad en el mundo OT debe ser abordada por personas con experiencia en el mundo OT y la capacidad de trasladar los conocimientos de IT al mundo OT”.

Javier Díaz Evans, Director General Global de A3sec, comenzó su ponencia destacando que el auge de la hiperconectividad y la integración del mundo físico con el virtual aumentan los riesgos de ciberseguridad. Señaló que las soluciones del mundo IT no se adaptan completamente a las problemáticas del mundo OT (Operational Technology) y del mundo físico. Y que es necesario repensar la forma de enfrentar los riesgos del mundo físico, utilizando controles compensatorios, gestión de riesgos y la gestión de la incertidumbre.

Planteó una evolución importante en el rol tradicional de los equipos y proveedores de ciberseguridad cuando comentó que, “en el mundo de la ciberseguridad los mensajes tradicionalmente han estado cercanos al miedo. Y tenemos que empezar a cambiar esa visión. Si ya le hemos demostrado a nuestros clientes que protegen el valor, ahora tenemos que mostrarles cómo generamos valor.¿Oiga, yo qué aporto a la organización? ¿Cómo puedo hacer que crezca a partir de mi función de ciberseguridad?”.

En este sentido, es importante transformar el lenguaje técnico en un lenguaje de negocio para que la ciberseguridad llegue a las altas esferas de la organización y sea vista como un impulsor del negocio, no solo como un tema de cumplimiento o protección, “los datos deben generar inteligencia para tomar las mejores decisiones y actuar en consecuencia para minimizar el impacto de los incidentes. Los informes deben traducir las técnicas, tácticas y amenazas a los riesgos reales del negocio”.

Propone ir un paso más allá de la resiliencia: la ciberantifragilidad, “hay que aprender y evolucionar a partir de los incidentes de seguridad”. Y también quiso destacar el papel que pueden tener en una estrategia de ciberseguridad y ciberresiliencia sólida avances como Zero Trust, la criptografía post-cuántica, ya que las capacidades cuánticas amenazarán los protocolos de cifrado actuales o el aprovechamiento de la IA y el uso masivo de datos de telemetría para resolver problemas y mejorar la seguridad.

La intervención de José María Ochoa, Director de OneseQ I Alhambra Cybersecurity, arrancó con un sorprendente “la ciberresiliencia ha muerto. ¡Viva la ciberadaptabilidad!”. El responsable de OneseQ afirmó que “la ciberresiliencia, enfocada en resistir, responder y recuperarse, ya no es suficiente. Es necesario evolucionar hacia la ciberadaptabilidad, que implica anticiparse y cambiar proactivamente ante las amenazas”.

El entorno actual, con un altísimo grado de conectividad entre sistemas, presenta una gran cantidad de amenazas que no se comprenden completamente. Destacó que “la ciberresiliencia tradicional se basa en planes integrales de prevención, detección, respuesta y recuperación, pero solo permite encajar golpes. Es importante dejar atrás la seguridad reactiva (perímetros y apilamiento de soluciones) y avanzar hacia la seguridad proactiva (gestión y monitorización)”.

Puso como ejemplo un ataque de ransomware. Ante un suceso así, la ciberresiliencia permite recuperarse después del ataque, mientras que la ciberadaptabilidad permite cambiar la estrategia de seguridad en tiempo real para prevenir o mitigar el impacto del ataque.

No dejó pasar la oportunidad de hablar de dos elementos muy importantes: la IA y la ciberinteligencia. Respecto a la primera, señaló que la inteligencia artificial es fundamental para la ciberadaptabilidad, permitiendo actuar y cambiar procesos de manera automática, “la inteligencia artificial nos permitirá poder actuar y cambiar muchos procesos de manera automática, porque no da tiempo hacerlo de manera manual. El tiempo es oro y seguirá siendo oro siempre. Mejor tener una dinámica adaptativa que sea automatizada, controlada por humanos”.

Sobre la ciberinteligencia hizo una comparación con los ejércitos, cuando afirmó que “están siempre fuera viendo a sus enemigos, estudiándolos, teniendo conocimiento de lo que están haciendo, incluso dejándoles hacer en muchas ocasiones. Y esto es lo que tenemos que incluir en nuestra ciberdefensa. Sin eso no va a haber adaptabilidad, va a haber solo ciberresiliencia y ya está”.

José María Ochoa terminó su intervención mencionando los dos principales retos que les plantean sus clientes: uno, ayudarles a recuperarse de ciberataques en curso, esto es, “sácame del hoyo” y, dos, ayudar a las compañías a evolucionar y gobernar la ciberseguridad de manera efectiva.